本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 使用 SSL/TLS 证书 SSL/TLS 证书是一种数字文档,允许 Web 浏览器使用安全 SSL/TLS 协议识别和建立与网站的加密网络连接。设置自定义域时,您可以使用 Amplify 为您预配的默认托管证书,也可以使用您自己的自定义证书。 使用托管证书,Amplify 会为连接到您的应用程序的所有域名 SSL/TLS 颁发证书,以便通过 HTTPS/2 保护所有流量。由 AWS Certificate Manager (ACM) 生成的默认证书有效期为 13 个月,只要您的应用程序由 Amplify 托管,就会自动续订。 **警告** 如果您的域提供商在 DNS 设置中修改或删除了 CNAME 别名记录验证记录,Amplify 将无法续订证书。您必须在 Amplify 控制台中删除并重新添加该域。 要使用自定义证书,您必须首先从您自选的第三方证书颁发机构获取证书。Amplify Hosting 支持两种类型的证书:RSA(非对称加密算法)和 ECDSA(椭圆曲线数字签名算法)。每种证书类型都必须符合以下要求。 **RSA 证书** + Amplify Hosting 支持 1024 位、2048 位、3072 位和 4096 位 RSA 密钥。 + AWS Certificate Manager (ACM) 颁发包含最多 2048 位密钥的 RSA 证书。 + 要使用 3072 位或 4096 位 RSA 证书,请从外部获取证书并将其导入到 ACM 之中。然后,它将可以与 Amplify Hosting 一起使用。 **ECDSA 证书** + Amplify Hosting 支持 256 位密钥。 + 使用 prime256v1 椭圆曲线为 Amplify Hosting 获取 ECDSA 证书。 获得证书后,将其导入 AWS Certificate Manager。ACM 是一项服务,可让您轻松预置、管理和部署公有和私有 SSL/TLS 证书,以便与内部连接的资源一起 AWS 服务 使用。请确保您在美国东部(弗吉尼亚州北部)(us-east-1)区域请求或导入证书。 确保您的自定义证书涵盖您计划添加的全部子域。您可以在域名开头处使用通配符来覆盖多个子域。例如,如果您的域是 `example.com`,则可以包含通配符域 `*.example.com`。这将涵盖 `product.example.com` 和 `api.example.com` 等子域名。 在 ACM 中提供自定义证书后,您就可以在域名设置过程中选择此证书。有关将证书导入到 AWS Certificate Manager的说明,请参阅《AWS Certificate Manager 用户指南》**中的[将证书导入到 AWS Certificate Manager](https://docs.aws.amazon.com/acm/latest/userguide/import-certificate.html)。 如果您在 ACM 中续订或重新导入自定义证书,Amplify 会刷新与自定义域关联的证书数据。对于导入的证书,ACM 不会自动管理续订。您负责续订并重新导入自定义证书。 您可以随时更改为一个域使用的证书。例如,您可以从默认托管证书切换到自定义证书,或从自定义证书更改为托管证书。此外,您可以将所用的自定义证书更改为其他自定义证书。有关更新证书的说明,请参阅[更新域的 SSL/TLS 证书](to-update-certificate.md)。